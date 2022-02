Ransomware-Banden setzen vermehrt auf "Triple Extortion", dreifache Erpressung: Sie verschlüsseln nicht nur die Daten der Opfer, saugen zugleich Informationen ab und drohen mit deren Veröffentlichung. Zusätzlich werden in einem dritten Schritt auch noch die Kunden der Opfer mit sensiblen Daten konfrontiert und erpresst.

Ein besonders aufsehenerregender Fall wurde im letzten Herbst bekannt: Kriminelle erpressten mit Daten aus einem Angriff auf eine psychotherapeutische Klinik in Finnland nicht nur die Institution, sondern auch deren Patienten. Diesen drohte die Bande mit der Veröffentlichung von Sitzungsnotizen ihrer Therapeutinnen und Therapeuten.

"Wir beobachten diese Methoden vermehrt", sagt Peter Sandkuijl im Gespräch. Der Security-Experte hat mit seinen Kollegen von Check Pointdie Telemetriedaten von Kunden ausgewertet und das Darkweb durchforstet. Die Cyberkriminellen würden immer neue Wege suchen, um ihre Renditen zu vergrössern und Abwehrmassnahmen zu unterlaufen, sagt der IT-Ingenieur, die Lage sei höchst dynamisch.

Sandkuijl ist ein alter Hase im Feld: Der Holländer arbeitet seit 25 Jahren in der IT-Security und wurde 2011 zum Chef der europäischen Network Security Solutions von Check Point ernannt, mittlerweile ist er Vicepresident Engineering im EMEA-Raum.

Die nicht ganz neue Unübersichtlichkeit

Seit Sandkuijl Karrierestart hat sich nicht nur die Bedrohungslage geändert, auch die IT- und Security-Landschaften ist mittlerweile kaum wiederzuerkennen. "Früher hat man den Kunden eine Firewall installiert und die Welt war mehr oder weniger in Ordnung", sagt er. Heute sei dies zwar immer noch Teil des Abwehrdispositivs, aber mit Identitätsmanagement, Netzwerksegmentierung, Monitoring des Datenverkehrs, App-Security und Schulungen seien viele neue Puzzleteile dazugekommen.

Da verlieren vor allem Organisationen mit limitierten Ressourcen rasch den Überblick. Die meisten Firmen wüssten nicht mal, was in ihrem Netzwerk laufe, sagt Sandkuijl. Das alte Credo "Daten verlassen das Haus nicht" könne man in einer Welt der Cloud, des hybriden Arbeitens und der komplexen Netzwerke ohnehin vergessen.

Wer über beschränkte Mittel verfüge, komme kaum mehr um ein Service-Angebot von Security-Spezialisten herum, sagt Sandkuijl. Er vertritt natürlich ein geschäftliches Interesse, sein Arbeitgeber bietet umfassende Security-Lösungen. Aber es ist bekannt, dass viele KMUs für Cyberattacken offenstehen wie ein Scheunentor , die Verantwortlichen oftmals schon allein mit dem Patching überfordert sind.

erfolgreich angegriffen worden waren: Das sind hochgerechnet 55'000 Firmen. In der Umfrage hatte jedes fünfte Unternehmen angegeben, sein Cybersecurity-Budget erhöhen zu wollen, nochmals 20% wollte dies wahrscheinlich tun. KMU vergeben rund 30% der IT-Arbeiten – inklusive Security – an Externe auslagern wie die Umfrage zeigt. Als Faustregel gilt: Je grösser die Firma, desto eher lässt man die Arbeiten von einem Drittanbieter erledigen. Im letzten Herbst stellte das Marktforschungsinstitut GFS fest , dass in der Schweiz 2021 mehr als ein Drittel der KMUangegriffen worden waren: Das sind hochgerechnet 55'000 Firmen. In der Umfrage hatte jedes fünfte Unternehmen angegeben, sein Cybersecurity-Budget erhöhen zu wollen, nochmals 20% wollte dies wahrscheinlich tun. KMU vergeben rund 30% der IT-Arbeiten – inklusive Security – an Externe auslagern wie die Umfrage zeigt. Als Faustregel gilt: Je grösser die Firma, desto eher lässt man die Arbeiten von einem Drittanbieter erledigen.

Der Markt dürfte in der KMU-dominierten Schweiz sehr interessant sein. Bei Check Point reagiert man offenbar in der globalen Organisation auf den Trend: "Wir gründen gerade eine eigene Abteilung für KMU-Kunden", sagt Sandkuijl. Man wolle diesen eine Art Managed Security Services anbieten.

Welcher Anbieter kommt in Frage?

Eindringlinge kommen laut Check Point noch immer in über 80% der Fälle per Phishing-Mails ins System. Allerdings sehe man diese Angriffe auch auf Plattformen wie Slack oder Teams immer öfter, über die Firmen miteinander kommunizieren. Sandkuijl hat zum Zoom-Gespräch einige Daten zur Schweiz mitgebracht: Hierzulande wurden im Januar über die Hälfte der bösartigen Dateien über E-Mail ausgeliefert, die häufigste Ausnutzung war die Ausführung von Code aus der Ferne.

Welcher Security-Dienstleister kann das Drama lindern? Letztlich obliege es den Firmen selbst, festzustellen, wer gute Arbeit leiste, sagt Sandkuijl und präzisiert: "Glauben sie keinen Werbebroschüren. Konsultieren Sie Drittparteien, die das Niveau von Security-Anbietern über einen längeren Zeitraum beurteilen". Absolute Sicherheit gebe es heute zwar nicht, aber man könne das Niveau auf jeden Fall erhöhen, zum Beispiel mit einem Zerotrust-Ansatz. Denn "good enough security" reiche einfach nicht mehr, sagt Sandkuijl, auch wenn dieses Mindset noch immer fest verankert sei.